核心用法
agent-bom-registry 是一款专注于 MCP(Model Context Protocol)服务器安全治理的专业工具,提供从单点查询到批量风险评估的完整工作流。
主要功能模块:
1. registry_lookup — 在 427+ 服务器的本地安全元数据库中快速检索目标服务器
2. marketplace_check — 安装前信任检查,交叉验证注册表信息
3. fleet_scan — 批量扫描 MCP 服务器清单,输出统一风险评分
4. skill_scan / skill_trust / skill_verify — 技能文件安全分析、信任评级(5级分类)及 Sigstore 来源验证
5. code_scan — 集成 Semgrep 的静态应用安全测试(SAST),支持 CWE 合规映射
显著优点
- 零信任架构设计:本地捆绑全部注册表数据,查询纯内存匹配,无网络泄露风险
- 无需凭证:核心功能零 API key 依赖,可选 Snyk 增强需用户自管 token
- 标准化评估:OpenSSF Scorecard 集成、Sigstore 供应链验证、CWE 安全分类
- 规模化运维:fleet_scan 支持批量服务器治理,适合企业 MCP 基础设施
潜在局限
- 注册表覆盖率依赖维护(当前 427+),新兴服务器可能存在数据滞后
- SAST 深度依赖 Semgrep 规则集,复杂漏洞可能需要商业版增强
- 技能信任分析基于静态规则,无法检测运行时行为异常
适合人群
安全运维工程师、平台团队、MCP 服务器管理员、关注供应链安全的开发团队
常规风险
- 可选 Snyk 集成需妥善保管
SNYK_TOKEN,避免意外泄露 - 技能文件分析接收用户传入字符串,需确保来源可信
- 注册表数据时效性:建议定期更新包版本获取最新安全元数据